четверг, 12 сентября 2013 г.

Защита от сетевых и DDOS атак при помощи StoneGate IPS

Методы сетевых и DDoS атак давно известны, но противостоять им не так-то просто. Решения StoneGate умеют различать несанкционированные подключения и обеспечивать защиту сетевого трафика. 

Сетевые атаки уже давно не игрушки в руках хакеров, сегодня это скорее мощный инструмент конкуренции, позволяющий быстро влиять на ситуацию на рынке. Продолжительная DDOS (Distributed Denial of Service Attack) атака способна полностью блокировать работу сайта или всей сети, в результате чего теряются не только клиенты, но и наносится серьезный удар репутации компании. Но смягчить последствия все же можно, для этого следует использовать специализированные инструменты, адаптированные для решения такого рода задач.

Stonesoft a McAfee Group Company является ведущим разработчиком инновационных технологий для комплексного обеспечения сетевой безопасности и защиты информации, циркулирующей в корпоративных сетях разного размера от малых до крупных. Продает «Security-as-a-Service» продукты, успешно работающие на локальном оборудовании или в облачных сервисах. В мае 2013 года компания была выкуплена McAfee, но продукция продвигается под привычными брендами. 

Возможности StoneGate IPS

Функции сетевой защиты доступны в двух решениях, выпускаемых под маркой StoneGate: StoneGate IPS и StoneGate Firewall/VPN. При этом StoneGate IPS призван распознавать и блокировать атаки во внутренней сети, а StoneGate Firewall/VPN ориентирован на защиту периметра и обеспечение безопасного соединения с филиалами (также содержит модуль IPS).

Оба продукта основаны на одном и том же движке (Security Engine), взаимодействуют друг с другом, обеспечивая контроль сетевых приложений и защиту от атак в распределенных сетях, и управляются с помощью единой консоли управления (Stonesoft Management Center (SMC)). Это дает возможность построить комплексную систему защиты сети от любых внешних угроз, легко масштабируемую и обладающую простым администрированием. 

StoneGate IPS анализирует сетевой трафик и выявляет потенциальные угрозы в обоих стеках (IPv4 и IPv6), зашифрованном трафике (SSL/TLS – при помощи технологии SSL Inspection), IP и GRE туннелях, а также разбирает другие способы инкапсуляции трафика. Система позволяет реализовать контроль нескольких сетей с разными скоростями, обработка фрагментированного сетевого трафика, декодирует порядка 50 основных прикладных протоколов и различает более 500 приложений для точного определения специфических атак, обнаруживает сканирование сети.

Для обнаружения вторжений используется несколько параллельных технологий анализа сетевой активности, что гарантирует высокую степень безопасности и работу бизнес-приложений в любой ситуации. Сигнатурный анализ опирается на базу атак, содержащих описания по содержанию, контексту сетевых пакетов и некоторым другим критериям. Возможно обновление базы данных сигнатур атак из различных источников, импорт OpenSource-сигнатур. Детектор аномалий использует статистические данные трафика, анализ протоколов на соответствие RFC и установленным шаблонам атак. В случае неизвестной атаки, опытный администратор на основании данных журнала может самостоятельно создать и добавить сигнатуры, шаблоны анализа атаки и описания аномалий.

Рис.1 Настройку политик упрощают шаблоны

StoneGate IPS позволяет работать как в режиме системы предотвращения вторжений (IPS), так и в режиме обнаружения вторжений (IDS), или в комбинации обоих режимов для разных сегментов сети. В случае вторжения предусмотрены: блокировка трафика на inline интерфейсе, завершение TCP-соединения, оповещение, запись трафика, занесение участвующих в подозрительной активности IP адресов (как отправителя, так и получателя) в черный список. 

Профилирование сетей (profile) позволяет автоматически обнаруживать новые сервисы и узлы, установленные без ведома администратора. Анализатор событий StoneGate IPS Analyzer коррелирует (группой и по последовательностям событий) данные журналов одного или более устройств, убирает дубликаты и по результатам изолирует атакующего (например, сетевого червя) на всех StoneGate IPS и FW одновременно, сводя к минимуму вред, который может быть причинен, а также снижая вероятность ложных срабатываний. 

За счет сегментирования существующей сетевой инфраструктуры при помощи технологии Transparent Access Control легко можно разделить даже одну большую подсеть на «развязанные» сегменты, контролируя доступ из одной части в другую. 

В StoneGate IPS также реализован механизм полноценной нормализации данных (пакетов, сегментов, информации прикладных протоколов), который позволяет защищаться от атак нового поколения – тех, которые используют так называемые «техники обхода», а точнее не давно известные возможности фрагментации информации, описанные еще в конце 20-го века, а их современные разновидности – «динамические техники обхода» (Advanced Evasion Techniques.Эти механизмы злоумышленники могут использовать для «обхода» средств защиты в процессе осуществления вторжений. В результате система безопасности не только пропускает атаку, но и, не будучи способной даже детектировать ее следы, не уведомляет о подозрительной активности администратора безопасности, который остается в полном неведении о ситуации в сети.

Если говорить про регрессивный анализ событий информационной безопасности и анализ изменений или аудит безопасности, то с этими неотъемлемыми задачами при внедрении СОВ позволяет легко справиться интерфейс системы управления – SMC. Он предоставляет специалистам практически неограниченные возможности для составления отчетов и получения актуальной картины о состоянии безопасности в сети.

С точки зрения борьбы с направленными и распределенными DDoS атаками, StoneGate IPS обладает рядом интересных возможностей. Безусловно, она не позволит защититься от переполнения канала связи со стороны оператора, но когда необходимо ограничить количество подключений или отследить корректность установки TCP соединений, штатно интегрированные функции окажутся очень кстати. Также полезной является легко настраиваемая функция обнаружения различного вида сетевых сканирований (которые, как правило, предшествуют самим атакам). А возможность корреляции событий информационной безопасности позволяет зачастую отказаться от использования вспомогательных отдельных систем класса SIEM и обнаруживаться распределенные гетерогенные атаки, в том числе распределенные во времени. В системе есть некоторый стандартный набор правил корреляции, который легко расширяется под нужны конкретной защищаемой системы.

Знакомимся ближе

Реализован StoneGate IPS в виде аппаратного и программного решений, образа для виртуальной машины StoneGate Virtual IPS. Программные решения позволяют использовать для развертывания IPS любой сервер. На сайте разработчика доступен список сертифицированных платформ для работы ПО Stonesoft. Виртуальный StoneGate Virtual IPS представляет собой готовое, простое в установке средство для обеспечения безопасности приложений и операционных систем в виртуальной среде. Наличие образа для виртуальной машины позволяет легко протестировать возможности StoneGate IPS или быстро развернуть сервис на имеющемся оборудовании, не ожидая поставки устройства. Возможности по контролю трафика в этом случае полностью зависят от мощности компьютера. 

Образ StoneGate Virtual IPS и тестовую лицензию можно получить после регистрации на сайте (требуется корпоративный email). Официально поддерживается VMware, но в качестве системы виртуализации можно использовать любую поддерживающую OVF. Для IPS создается три виртуальных интерфейса (по умолчанию). 

Перед началом использования StoneGate необходимо развернуть SMC, к которому после установки указать на файл лицензии. Затем можно создавать подключение к IPS (Configuration - Security Engine — New – Single IPS или IPS Cluster) и в появившемся окне последовательно указать все параметры (самые важные IP адрес и интерфейсы VM). После этого новое устройство появится в списке, и можно приступать к его конфигурации (первый шаг контекстное меню Configuration - Initial Configuration). Запускаем VM, в появившемся мастере настроек указываем IP, пароль root, и прочие установки, на последнем шаге подключаемся к SMC, задав его IP и OTP- пароль, выданный мастером Initial Configuration. 

Рис.2 Подключение StoneGate Virtual IPS к SMC

Разработчики предоставляют весьма подробные руководства, хотя назначение большинства настроек и последовательность действий для подготовленного администратора понятно и без чтения документации, в случае если чего-то не хватает, будет выдана соответствующая подсказка. Следует просто внимательно заполнить предложенные поля. 

Кроме того, российский офис предоставляет подробное руководство на русском языке, так что даже для администратора, для которого незнание английского языка делает невозможным использование аутентичной документации, не составит труда запустить и штатно использовать систему.

***

Расписать все, что касается StoneGate IPS, в коротком обзоре невозможно. Это очень мощная и функциональная система, позволяющая обезопасить корпоративную сеть от всевозможных сетевых атак. Интеграция с другими продуктами StoneGate и возможности масштабирования только повышают уровень защиты и простоту администрирования.

Комментариев нет:

Отправить комментарий